网易首页 > 网易号 > 正文 申请入驻

陕西农信:云原生架构下网络安全防护探索与实践

0
分享至

来源:2023第七届农村中小金融机构科技创新优秀案例评选

获奖单位:陕西农信

荣获奖项:信息安全创新优秀案例

一、项目背景

“十四五”期间,陕西农信紧跟国家战略步伐,积极投身到数字中国、数字陕西建设中,并将数字化转型作为自身发展核心战略。持续加大科技投入,创新构建线上化、数字化、智能化的数字金融服务新模式,努力将自身打造成为陕西省内数字乡村和数字金融的关键一环。在数字化转型中,陕西农信高度重视IT基础支撑平台建设,主动拥抱云变化,以云原生为核心技术底座,打造了一套“分布式+全国产”技术架构的私有云平台。陕西农信广泛应用容器、微服务、DevOps等云原生技术,建设了分布式技术平台,满足了业务快速迭代、资源弹性扩展、数据共享互通、运维自动化的需求,有效助力数字化转型业务快速发展。

云原生技术为陕西农信数字化转型和业务发展带来便利。同时,新技术的引入也带来一些安全风险挑战,主要体现在以下方面:一是容器技术本身特性,其业务资产经常动态变化,容器资产难以有效清点;二是外部容器镜像可能存在木马病毒、组件安全漏洞,针对容器镜像供应链攻击越发流行,缺乏对持续对容器进行漏洞监测的手段;三是缺少对容器进行实时入侵检测的防护能力,容器可能存在逃逸问题,影响到承载容器的底层基础设施的安全稳定;四是云原生环境下,安全组件缺失或配置不规范导致的安全风险日益突出。

为有效应对云原生技术带来的安全挑战,2023年陕西农信结合实际情况和安全管理要求,依托已有的主机入侵检测系统,主动弥补云原生架构下安全防护短板,提出建设一套云原生环境下的安全防护平台。平台采用轻量化分布式部署架构,深度对接云原生运行平台,将云原生资产统一纳管,及时发现主机和容器安全脆弱性,具备入侵检测、病毒查杀等实时安全检测和响应能力,结合安全配置基线核查,将云原生安全贯穿于在预测、防御、检测和响应等环节。平台上线后,有效抵御了外部各类安全攻击,提升了云平台整体安全防护能力。

二、项目方案

(一)平台功能架构

平台基于云原生安全成熟度模型,遵循安全左移、持续监控响应和可观测性等原则,在主机安全防护基础之上,重点提升云原生安全检测与防护能力。平台围绕云原生基础设施、镜像管理、容器运行时和组件应用等多个方面,提供资产清点、集群安全、镜像安全、容器入侵检测、基线核查等安全能力,实现了云原生安全预测、防御、检测和响应的安全闭环。平台功能架构如下:

(二)平台功能

1、安全资产清点

通过Agent代理技术,有效覆盖物理机、虚拟机、K8S、容器等计算资源,从安全角度对POD、容器、镜像、进程、端口、WEB服务、软件应用、中间件等资产进行持续性、自动化采集,全方位实时展示更新资产内容和状态,便于掌握云平台安全资产全貌。

2、镜像安全检测

在镜像的构建、分发、运行等生命周期中,从授信镜像、安全补丁、高危漏洞、木马病毒、Webshell和敏感信息等方面对镜像文件进行安全扫描检测,检测发现高中危应用组件和弱口令漏洞,有效阻止风险镜像参与后续运行,有效防范镜像供应链攻击风险。

3、容器入侵监测

通过多锚点对容器内的进程、网络、文件行为进行检测,持续监测容器逃逸、暴力破解、反弹Shell、Web后门、恶意命令执行、内存后门、本地提权等容器攻击行为,实时、准确地感知入侵事件,对失陷容器进行一键隔离。

4、安全合规基线

参考业内云原生安全配置最佳实践,形成适应自身云平台安全基线。通过一键自动化安全合规基线检测,发现由于环境配置不当而引入特权容器、敏感目录挂载等安全问题,并形成可视化基线检查结果和修复建议。

(三)部署架构

平台由Server服务器、超融合Agent和分布式代理三部分组成。Server服务器主要包括服务端、Scanner-worker、Cluster-link、Hiveaudit和Jenkins插件等;服务端负责对汇总数据进行统一的挖掘分析和处理展示;Scanner-worker负责拉取仓库镜像,并进行镜像扫描;Cluster-link集群连接组件主要负责K8S集群资产清点、集群管理、Agent容器管理工作;Jenkins插件用作构建阶段镜像的扫描代理;Hiveaudit是K8S集群日志审计模块;组件均为分布式部署,支持根据业务需求灵活扩展。

超融合Agent部署在运行容器的宿主机上,其集成了云原生安全和主机安全双重检测能力,负责对所属主机及容器的资产清点、节点风险扫描、镜像漏洞扫描、入侵监测等工作,同时解决容器及其宿主机中存在的安全问题。分布式代理为承载sock5代理功能的主机,用于为不同网络环境下的主机和云平台提供Agent与Server服务器之间的连接服务。

三、创新点

(一)全方位安全资产梳理,及时发现问题资产

平台利用Agent探针技术,从“白盒”视角全方位盘点主机、POD、容器、镜像、Registry等资产,关联资产间访问调用关系,相比网络扫描和被动流量检测等“黑盒”资产探测方式,Agent探针收集的资产更加全面准确,有效消除资产盲点。通过特征比对、脚本运行、条件触发等多种检测手段,自动发现主机和容器资产存在的安全补丁、系统漏洞、弱口令和配置缺陷等问题,实现安全风险的自动化和智能化检测,时刻掌握安全资产变化,清除安全风险隐患。

(二)一体化安全风险监测,实时防范入侵攻击

以ATT&CK攻击模型为参考,结合IoC、大数据、机器学习等分析技术,对攻击路径的每个环节进行深入监控,全面覆盖宿主机、容器集群、镜像、容器应用等多个节点,实时检测容器运行时安全风险和攻击入侵事件,做到了云原生安全的全方位、一体化安全风险监测。

(三)内存马攻击检测

随着攻防两端对抗的深入,采用无文件攻击手法将木马文件注入内存的攻击越发流行,此类攻击具有极强的隐蔽性,传统检测手段难以通过扫描文件的方式发现内存马。平台创新性在JAVA进程中注入恶意代码检测程序,对敏感JAVA应用服务器接口调用进行监控,可有效检测发现内存Webshell、Shellcode和加载动态链接库等多种内存马攻击行为,极大提升了防守方安全防护能力。

(四)AI引擎病毒查杀

为有效解决高级病毒无法检测的问题,平台采用分布式设计和多病毒安全引擎,结合动态检测和AI推理引擎技术,可有效识别病毒变形和混淆问题,将病毒木马等价还原成最简化特征形式,及时发现木马中存在的可疑内容,极大提高对于木马病毒的检测能力。

四、技术实现特点

(一)落地安全左移,降低安全开发成本

践行“安全左移”理念,在容器镜像构建、分发、运行等生命周期阶段进行安全管控,提前消除安全风险。在构建阶段,检查IaC文件和生成镜像的安全性,发现潜在的补丁、漏洞、病毒、敏感信息和非法镜像等;在测试分发阶段,进行合规基线检查,消除不安全配置;在上线阶段,对生产环境的编排文件和容器镜像再次进行安全检查和一致性校验,排除敏感信息和不合规配置。

(二)融合轻量化部署,全面适配国产化

平台将主动安全能力集成于唯一安全探针Agent,自适应传统主机和容器化运行环境。对于容器集群仅在所有node节点安装Agent即可,后续容器上线和扩容无需安装,具备高效敏捷和弹性,自动适配云原生场景。Agent探针采用轻量化部署,CPU占用率小于10%,内存占用小于100M。同时,积极响应国家国产化战略,Agent完美适配麒麟、统信等国产操作系统,为后续国产化改造推广提供了基础条件。

(三)动态安全检测,准确感知入侵威胁

平台基于恶意行为模型,可有效检测远程漏洞利用、反弹Shell、高危命令调用、内存马攻击、内网代理穿透、K8S异常调用、容器逃逸、文件篡改等多种容器运行态攻击行为。通过多锚点的行为检测能力,对容器进程行为、文件行为、网络行为进行监控学习,建立容器行为模型,分析异常偏离行为,发现未知入侵威胁,准确感知入侵事件,并将告警自动关联分析,提高主动溯源能力,对容器集群进行有效防护。

五、项目过程管理

本项目于2022年4月启动,2023年6月正式投入运行,项目建设周期为14个月,经历了需求分析、功能测试、部署实施、正式上线、持续运营等5个阶段。项目具体建设过程如下:

(一)需求分析阶段

时间周期:2022年4月至5月

工作内容:主要进行前期预研,根据本单位网络安全建设现状完成需求分析与功能的确认,并对系统技术架构、部署模式进行研究。

(二)功能测试阶段

时间周期:2022年6月至2023年3月

工作内容:结合前期预研形成的解决方案对平台开展功能测试,验证各功能模块与实际需求的符合情况,形成测试结论、功能测试报告。

(三)部署实施阶段

时间周期:2023年4月

工作内容:根据实际网络结构和平台部署模式形成最佳实施方案,完成镜像仓库对接、容器集群扫描组件安装,并逐步对非集群容器节点进行Agent安装,达到100%覆盖率。

(四)正式上线阶段

时间周期:2023年5月

工作内容:平台正式上线运行,统计资产清点结果和风险扫描详情。对生产问题扫描结果进行分析,人工研判减小误报率。协调开发和运维团队对已证实的业务系统问题进行修复。并根据研判结果对误报告警进行策略优化。

(五)持续运营阶段

时间周期:2023年6月起

工作内容:上线后开始将平台纳入常态化安全运营流程中。基于平台在预测风险、精准感知威胁、资产清点等方便的优异能力,通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意行为、异常事件,监测到入侵事件后,对失陷容器快速安全响应。定期向运维团队反馈新增业务系统脆弱性以进行整改,消除安全威胁。

六、运营情况

平台上线后,已接入近百个容器集群节点、4000多个代码仓库镜像、2000多个节点镜像,全面覆盖陕西农信统一C端、远程银行、智能客服和交易中台等多个重要业务系统。防护平台累计检测出容器应用漏洞300余多、弱口令150多个、不合规配置220余个、内网代理穿透2起、内存马攻击1次。平台上线后,发现了大量潜在安全隐患,在实战攻防对抗中检测阻断了多起攻击,有效提升了整体安全防护能力,保障了业务系统安全稳定运行。

七、项目成效

(一)云原生资产全面收集,持续入侵检测响应

自动化构建云原生安全资产信息,时刻掌握容器资产变化,将容器环境安全由“看不见、摸不着”的局面,扭转为“可量化、可评估”,大幅度消除了云原生安全隐患,提升了安全可控能力。通过持续监控分析,及时发现异常风险和入侵,准确感知入侵事件并提供对应的响应手段。

(二)安全左移,业务上线即安全

按照“安全左移”管理思想,将镜像容器安全管控前移,与现有安全开发流程相结合,将安全卡点内置到DevOps流程中,设立严格的准入与准出规则,提前发现缓释被攻击和潜在运行风险,确保业务上线即安全。

(三)安全体系联动,赋能安全运营

云原生安全平台与态势感知、威胁情报、自动阻断等其他现有安全系统进行联动对接,相互配合,构建完成立体纵深安全防护网。为安全人员日常运营提供了便利,可快速定位漏洞影响范围,确认风险资产,有效提升安全检测准确率。

八、经验总结

陕西农信通过建设基于云原生安全体系平台,将云原生资产统一纳管,实现了容器安全预测、防御、检测和响应的安全闭环,有效解决了云原生环境下面临的安全痛点,提升了容器安全防护水平。平台覆盖了容器全生命周期,防御能力,实施部署简单,对其他中小银行机构云原生安全平台建设具有积极的参考意义。


更多金融科技案例和金融数据智能优秀解决方案,请登录数字金融创新知识服务平台-金科创新社案例库、选型库查看。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
巩俐咋变成这样了!这还是当年那个在内娱叱咤风云的“巩皇”吗

巩俐咋变成这样了!这还是当年那个在内娱叱咤风云的“巩皇”吗

时髦范
2024-10-06 09:09:15
有金饰价格跌至700元/克下方 网友表示“已哭哭”

有金饰价格跌至700元/克下方 网友表示“已哭哭”

极目新闻
2024-11-17 12:36:09
广东:强化对人员密集场所和重点部位巡逻防控

广东:强化对人员密集场所和重点部位巡逻防控

新京报
2024-11-16 19:12:04
日本相机的天价内幕,被大疆捅穿了

日本相机的天价内幕,被大疆捅穿了

金错刀
2024-11-17 10:51:51
鉴宝|天生的魅魔圣体!她烧起来谁顶得住

鉴宝|天生的魅魔圣体!她烧起来谁顶得住

贵圈真乱
2024-11-17 09:50:18
山西兴县惊现灭门惨案,造成7死11伤,系非正当关系引发

山西兴县惊现灭门惨案,造成7死11伤,系非正当关系引发

故衣谈历史
2024-11-17 13:56:59
中学生上台吐槽被带离后续:安娜草堂真容浮现,宿舍照片曝光

中学生上台吐槽被带离后续:安娜草堂真容浮现,宿舍照片曝光

奇思妙想草叶君
2024-11-16 23:36:39
金鸡奖台下全是戏:王一博落败秒变脸,陈凯歌握手跳过刘德华

金鸡奖台下全是戏:王一博落败秒变脸,陈凯歌握手跳过刘德华

光影新天地
2024-11-17 00:23:21
火爆!国足vs日本,CCTV5节目单出炉,伊万收好消息,爆冷=出线

火爆!国足vs日本,CCTV5节目单出炉,伊万收好消息,爆冷=出线

大秦壁虎白话体育
2024-11-17 09:51:43
住建部放大招!城中村改造从35城扩至300城,房价再大涨怎么办?

住建部放大招!城中村改造从35城扩至300城,房价再大涨怎么办?

巢客HOME
2024-11-17 05:05:02
精神病患者捐空家里积蓄40多万无法要回,父亲心急如焚:她乱操作手机管不住

精神病患者捐空家里积蓄40多万无法要回,父亲心急如焚:她乱操作手机管不住

观威海
2024-11-17 15:26:10
金鸡奖两大不公平,雷佳音胜之不武,李庚希获奖时有人高喊黑幕

金鸡奖两大不公平,雷佳音胜之不武,李庚希获奖时有人高喊黑幕

光影新天地
2024-11-17 00:16:29
突传噩耗!她去世了,年仅50岁!被誉为…

突传噩耗!她去世了,年仅50岁!被誉为…

半岛晨报
2024-11-15 19:08:15
证监会停止降温A股!11月17号,今日凌晨的三大消息全面发酵!

证监会停止降温A股!11月17号,今日凌晨的三大消息全面发酵!

风口招财猪
2024-11-17 09:18:35
丑哭了!金鸡奖上的关晓彤,造型真的一言难尽,膀大腰圆特别壮实

丑哭了!金鸡奖上的关晓彤,造型真的一言难尽,膀大腰圆特别壮实

娱圈小愚
2024-11-17 10:12:53
ABC致歉,旗舰店清空产品

ABC致歉,旗舰店清空产品

鲁中晨报
2024-11-17 15:24:17
高中生吐槽宿舍后续:已被家长带回家,48万草堂和宿舍照片曝光!

高中生吐槽宿舍后续:已被家长带回家,48万草堂和宿舍照片曝光!

来条娱吃
2024-11-16 23:16:55
有哪些故意缩短产品寿命的设计?看完网友分享后直言:涨知识了

有哪些故意缩短产品寿命的设计?看完网友分享后直言:涨知识了

笑熬浆糊111
2024-11-17 00:05:19
珠海航展戳破“台独”谎言!“地狱景观”“焦土作战”都是幻想

珠海航展戳破“台独”谎言!“地狱景观”“焦土作战”都是幻想

上观新闻
2024-11-17 06:44:16
央视新闻中心资深记者周伟因突发疾病逝世,享年60岁

央视新闻中心资深记者周伟因突发疾病逝世,享年60岁

澎湃新闻
2024-11-17 14:04:27
2024-11-17 16:26:44
金科创新社
金科创新社
金科创新社
1193文章数 127关注度
往期回顾 全部

科技要闻

马斯克新官上任再起诉OpenAI!指控其垄断

头条要闻

能随意进出的县政府大院火了 县长:大家都是人民群众

头条要闻

能随意进出的县政府大院火了 县长:大家都是人民群众

体育要闻

湖人宠儿!詹眉苦盼的射手终于到位

娱乐要闻

金鸡奖:李庚希影后,赵丽颖美神下凡

财经要闻

央行化债,是“换水” 而不是“放水”

汽车要闻

全新燃油MINI正式上市 20.88-30.58万元

态度原创

家居
健康
旅游
房产
公开课

家居要闻

现代简约 彰显实用性

花18万治疗阿尔茨海默病,值不值?

旅游要闻

陕西华山景区、太白山景区迎来降雪

房产要闻

最新房价!海口新房,年内新低!但二手房,开始回暖!

公开课

一块玻璃,如何改变人类世界?

无障碍浏览 进入关怀版